Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Rootkit problemi e dubbi

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Rootkit problemi e dubbi

Messaggioda Neo123 » lun giu 13, 2011 11:02 am

Ciao a tutti, qualche settimana fa ho notato che con l'ultima versione del programma mbr la v0.4.2 il sistema di dava questo log:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3200822A rev.3.01 -> Harddisk0\DR0 ->

device: opened successfully
user: MBR read successfully
error: Read Una periferica collegata al sistema non è in funzione.
kernel: error reading MBR


alcune volte anche bloccando totalmente il sistema anche in modalità provvisoria.

Con la versione precedente (v.0.3.7) invece non c'e' alcun problema ne alcuna segnalazione e mi da questo log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Sul mio sistema ho 4 HD:

1 HD SCSI da 34 GB (con 1 primaria FAT32 (win98), 1 estesa di cui 2 logiche)(Winxp Logica 1 NTFS, Dati/backup logica 2 NTFS)
2 HD SATA da 1 TB (una partizione NTFS)
1 HD IDE da 200 MB (una partizione NTFS)

Il sistema e' stabile non si riavvia ne si blocca ne ci sono rallentamenti o altro, l'unico dubbio e' nato solo dall'esecuzione della versione nuova dell'utility mbr, che come dicevo mi da quel problema.
Così ho effettuato scansioni del sistema con:

GMER v1.0.15.15227 (con l'ultima versione si blocca il sistema)
Avira
Kaspersky
Gdata
CureIT
fsbl
Norman_Sinowal_Cleaner
tdsskiller
mcafeeantivirusplustrial
prevxcsifree

ma mi hanno segnalato solo alcuni falsi positivi che alla fine ho comunque deciso di cancellare per sicurezza tanto erano versioni molto vecchie di alcuni programmi.

Ho anche provato a scansionare tramite l'ultility Bootkit Remover e mi da questo log (ho messo solo la parte finale):

.\boot_cleaner.cpp(565) : System volume is \\.\D:
.\boot_cleaner.cpp(600) : \\.\D: -> \\.\PhysicalDrive1 at offset 0x00000000`64819800
.\diskio.cpp(204) : ATA_Read(): DeviceIoControl() ERROR 1
.\boot_cleaner.cpp(1060) :
.\boot_cleaner.cpp(1061) : Size Device Name MBR Status
.\boot_cleaner.cpp(1062) : --------------------------------------------
.\boot_cleaner.cpp(1106) : 34 GB \\.\PhysicalDrive1 Controlled by rootkit!
.\boot_cleaner.cpp(1112) :
.\boot_cleaner.cpp(1135) : Boot code on some of your physical disks is hidden by a rootkit.
.\boot_cleaner.cpp(1137) : To disinfect the master boot sector, use the following command:
.\boot_cleaner.cpp(1138) : remover.exe fix <device_name>
.\boot_cleaner.cpp(1142) : To inspect the boot code manually, dump the master boot sector:
.\boot_cleaner.cpp(1143) : remover.exe dump <device_name> [output_file]
.\boot_cleaner.cpp(1146) :
.\boot_cleaner.cpp(1151) : Done;


dove in pratica mi dice che il sistema e' controllato da rootkit.

aswMBR invece mi da questo log:

aswMBR version 0.9.5.256 Copyright(c) 2011 AVAST Software
Run date: 2011-06-13 11:40:44
-----------------------------
11:40:44.988 OS Version: Windows 5.1.2600 Service Pack 3
11:40:44.988 Number of processors: 1 586 0x801
11:40:44.988 ComputerName: AMDXP2400 UserName:
11:40:45.419 Initialize success
11:40:46.620 Disk 0 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
11:40:46.640 Disk 0 Vendor: ST3200822A 3.01 Size: 190782MB BusType: 3
11:40:46.640 Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Scsi\adpu160m1Port2Path0Target0Lun0
11:40:46.640 Disk 1 Vendor: FUJITSU_ 0104 Size: 35068MB BusType: 1
11:40:46.650 Disk 2 \Device\Harddisk2\DR2 -> \Device\Scsi\ulsata21Port3Path0Target8Lun0
11:40:46.650 Disk 2 Vendor: ST310003 NS60 Size: 953869MB BusType: 1
11:40:46.650 Disk 3 \Device\Harddisk3\DR3 -> \Device\Scsi\ulsata21Port3Path0TargetcLun0
11:40:46.660 Disk 3 Vendor: ST310005 NS11 Size: 953869MB BusType: 1
11:40:46.670 Disk 1 MBR read successfully
11:40:46.680 Disk 1 MBR scan
11:40:46.680 Disk 1 unknown MBR code
11:40:46.690 Disk 1 scanning sectors +71810550
11:40:46.710 Disk 1 scanning D:\WINDOWS\system32\drivers
11:40:51.627 Service scanning
11:40:52.839 Disk 1 trace - called modules:
11:40:52.849 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8acc41e8]<<
11:40:52.859 1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0x8ac41ab8]
11:40:52.869 3 CLASSPNP.SYS[f7657fd7] -> nt!IofCallDriver -> \Device\Scsi\adpu160m1Port2Path0Target0Lun0[0x8ac37a38]
11:40:52.869 \Driver\adpu160m[0x8ac7d9e8] -> IRP_MJ_CREATE -> 0x8acc41e8
11:40:52.879 Scan finished successfully
11:41:04.937 Disk 1 MBR has been saved successfully to "E:\MBR.dat"
11:41:04.957 The log file has been saved successfully to "E:\aswMBR.txt"



A questo punto mi chiedo se il problema non sia dovuto magari al fatto che il S.O. Winxp e' installato su una partizione logica, ho letto infatti su una guida su ubuntu (anche se mi sembra strano) che:

cito testualmente:
"Le partizioni logiche vengono usate come le partizioni primarie, dalle quali differiscono per il fatto che sono contenute tutte dentro una partizione primaria estesa e le loro descrizioni non si trovano nell'MBR."

Quello che mi sembra strano e che le loro descrizioni non siano nel mbr.
Dato inoltre che stiamo parlando di rootkit/bootkit che si diffonde quindi in ambiente windows collegando ad es un dispositivo di memoria tipo hd o pendrive, ho voluto fare una prova ed in particolare ho:

- cancellato tramite il cd seatools (anche se a quanto ho letto opera in ambiente freedos) l'hd da 200GB con un EraseFull che corrisponde allo zero filling
- scollegato gli altri hd
- installato WinXP

e facendo un controllo mi ha dato questo log:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3200822A rev.3.01 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


a questo punto mi sono detto se ricollegherò gli altri hd e farò partire il sistema da ide o scsi anche l'hd ide dovrà segnalare dopo l'infezione, ma non e' stato così.
Alla fine infatti facendo partire winxp dal ide e rifacendo il controllo mi ha dato lo stesso log.

Attualmente rieffettuando una scansione con mbr v0.4.2 il sistema si blocca anche in modalità provvisoria ma sono riuscito ad ottenere il log che e' questo:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: FUJITSU_ rev.0104 -> Harddisk0\DR0 ->

device: opened successfully
user: MBR read successfully
error: Read Una periferica collegata al sistema non è in funzione.
kernel: error reading MBR


Un altra cosa che ho notato avendo l'immagine della partizione di win 98 e di winxp e che trueimage non riesce a ripristinare l'immagine della partizione di win 98, con winxp invece non ci sono problemi (nel caso di win98 penso dipenda dal fatto che non riesce a sovrascrivere del tutto mbr) Sono riuscito a ripristinare il tutto con un immagine di tutto il vecchio disco scsi ripristinando l'intero disco e poi facendo un successivo ripristino della sola immagine aggiornata della partizione contenente winxp

Ultimamente ho anche cancellato alcuni files che erano stranamente dentro la cartella System Volume Information:

pur non avendo attivato il ripristino di sistema.
E l'antivir mi ha segnalato questo file che ho naturalmente rimosso:

The file 'E:\System Volume Information\_restore{FB9E81F9-278E-41FF-8C6E-F9D6C627C70A}\RP1\A0000002.exe'
contained a virus or unwanted program 'TR/ADH.BMB' [trojan]
Action(s) taken:
The file was moved to the quarantine directory under the name '4d279a6d.qua'.


Ora però sinceramente dopo tutte queste scansioni e prove (che sul mio sistema sono davvero lunghissime una media di 9/10 ore a scansione) sto pensando seriamente di cancellare con uno zerofilling l'intero disco scsi (penso ci dovrebbe stare circa 3 ore dato che non e' grandissimo) ed installare di nuovo WinXp in modo pulito eliminando tra l'altro win98 che non uso da tanto tempo e chissà forse avrei perso meno tempo se avessi fatto così sin dall'inizio, ma volevo prima rendermi conto della situazione e vedere se potevo risolvere in modo più semplice.
Se e’ possibile però vorrei togliermi un dubbio, secondo voi facendo in questo modo senza fare il backup degli altri hd (nel mio caso 1 ide e 2 sata) con successivo zero filling cosa rischio dato che gli altri sembrano puliti?
Volendo cancellare anche questi il problema infatti non sarebbe solo nell'acquisto di un hd esterno ed il successivo backup sotto distro linux ma anche il tempo di cancellazione degli hd specie quelli da 1 TB che facendo 4 conti basandomi su un post di Uomo senza sonno ci vorrebbero almeno 3 giorno ininterrotti per ogni hd, e francamente vorrei evitare se e' possibile.

Se serve ecco i settori 0 dei 4 hd:

Metto direttamente i links (spero non sia un problema)(risoluzione 1920x1200):

HD Scsi:
http://imageshack.us/photo/my-images/84 ... dscsi.jpg/

HD 1 SATA
http://imageshack.us/photo/my-images/71 ... da1tb.jpg/

HD 2 SATA
http://imageshack.us/photo/my-images/86 ... da1tb.jpg/

HD IDE da 200 GB
http://imageshack.us/photo/my-images/20 ... 200gb.jpg/

Se può servire ho visto che sull' hd Ide da 200 GB e i due sata da 1 TB i settori dal 1 al 62 sono vuoti

Per ora resto in attesa e vi ringrazio in anticipo, e scusatemi per il post lunghissimo, ma e’ passato tanto tempo ed ho diciamo annotato tutte o quasi tutti le prove che ho fatto e i miei dubbi.

P.S.
Per lo zerofilling un volta scollegati (per sicurezza) gli altri hd ed individuato hd con il comando linux (dal terminale):

sudo sfdisk -l

mi pare di aver capito che dopo si deve eseguire questo comando per lo zero filling:

sudo dd if=/dev/zero of=/dev/<device> bs=512

dove al posto di device devo mettere il nome del mio hd, giusto?
E mi chiedo inoltre e se avessi avuto un HD ssd ? in questo caso avrebbe funzionato lo zero filling e soprattutto non avrebbe diminuito la vita del'hd stesso?
Scusate le tante domande e dubbi ma anche essendo un tecnico informatico non mi e' mai capitato di fare uno zero filling ne di usare linux e relativi comandi console, anche se noto con piacere che rispetto ad es. a winpe sembra molto più versatile e comodo oltre a permettere un trasferimento files in tutta sicurezza.

Ciao e grazie a tutti in anticipo [:)] [ciao]
Avatar utente
Neo123
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: lun nov 09, 2009 12:52 am

Re: Rootkit problemi e dubbi

Messaggioda Uomo_Senza_Sonno » mar giu 14, 2011 12:49 am

Dopo aver letto e riletto attentamente il tuo post, cerco di risponderti nei punti più delicati senza dimenticare nulla.
Prima di tutto, i rootkit per rimanere invisibili si insediano nei settori esterni al partizionamento del disco, e di conseguenza sono completamente esterni e non si insediano al suo interno, in quanto verrebbero rilevati dagli antivirus e rimossi senza grossi problemi.

I controlli che hai effettuato hanno generato dei logs che possono essere fuorvianti oppure veriteri, tuttavia eseguire uno zerofilling in questo caso non lo reputo necessario, in quanto sarebbe sufficiente azzerare i settori che sono fuori dal filesystem. Ripartire completamente da zero è sicuramente la soluzione più rapida, ma bisogna considerare che l'operazione ha dei tempi che variano in funzione delle specifiche tecniche del disco da azzerare: quindi non è detto che un disco da 1TB ci debba mettere 3 giorni ad essere azzerato, probabilmente saranno sufficienti dalle 8 alle 14 ore [std]

Ho guardato i settori dei quattro dischi, sembrano puliti i dischi da 1TB (di entrambi comunque controlla anche il settore 1953520065) e quello da 200GB sembra non essere partizionato; sul disco di boot è meglio controllare i primi 62 settori e dal 71810550 in poi, e solo dopo valutare la prospettiva di azzerare tutto o solo i settori che ci interessano.

Neo123 ha scritto:Per lo zerofilling un volta scollegati (per sicurezza) gli altri hd ed individuato hd con il comando linux (dal terminale):

sudo sfdisk -l

mi pare di aver capito che dopo si deve eseguire questo comando per lo zero filling:

sudo dd if=/dev/zero of=/dev/<device> bs=512

dove al posto di device devo mettere il nome del mio hd, giusto?

Scollegare i dischi prima di procedere con lo zerofilling è una scelta saggia, soprattutto se si sbaglia il device, in quanto una volta partito non si può fermare e anche arrestandolo il danno è ormai fatto. Quindi, meglio sempre procedere un disco per volta, e se si procede in questo modo, troverai come primo disco sda [^] ed una volta completato il processo avrai un disco completamente azzerato e dei dati presenti al suo interno non vi rimarrà traccia alcuna.
In conclusione, azzerare il disco di boot può essere una buona scelta, soprattutto se vuoi ricominciare da capo e concludere tutto in poco tempo.

In tutti i casi, da una prima occhiata ai settori del disco di boot, non mi sembra che ci sia presente un'infezione da rootkit, con molta probabilità bootkit remover e aswMBR leggono qualche irregolarità nel mbr forse proprio per via della presenta di win98.

Neo123 ha scritto:E mi chiedo inoltre e se avessi avuto un HD ssd ? in questo caso avrebbe funzionato lo zero filling e soprattutto non avrebbe diminuito la vita del'hd stesso?

Non penso che questo processo accorci la vita dei dischi, anche se rimane un processo da eseguire solo in caso di stretta necessità.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Rootkit problemi e dubbi

Messaggioda Neo123 » mar giu 14, 2011 7:05 am

Buongiorno [:)] Innanzitutto ti ringrazio per la risposta [:)] , sinceramente non pensavo di averne una così velocemente, e ti ringrazio anche x aver letto con attenzione il mio post malgrado sia così lungo.
Ho letto anch'io più volte e con attenzione il tuo post e quindi mi pare di aver capito che come pensavo sin da dall'inizio in realtà potrebbe trattarsi solo di un falso positivo, che come giustamente mi hai fatto notare potrebbe benissimo dipendere dalla presenza di win98 o anche dal fatto che winxp e' installato su una partizione logica non attiva.
Resta comunque il dubbio riguardo il fatto che non riesco ad es a ripristinare singolarmente l'immagine della partizione di win98 il che e' molto strano perché come dicevo sembra che in qualche modo questo dipenda proprio dal mbr e relativo tentativo di ripristino.
Riguardo invece al test che ho effettuato, di cancellazione del hd ide con successiva installazione di winxp e controllo con mbr penso che e' un ulteriore conferma che si tratta di un falso positivo dato che ricollegando gli hd il rootkit non si propaga neanche collegando il pendrive che avevo usato precedentemente o sdcard (non so se anche le sdcard sono soggette a virus rootkit ma penso di si dato il file system)

Per i 3 HD (i due sata da 1 TB e l'ide da 200 GB), si effettivamente hd da 200 GB non e' partizionato ed ecco il settore 1953520065 degli hd sata da 1 TB:

http://imageshack.us/photo/my-images/71 ... 95352.jpg/
http://imageshack.us/photo/my-images/14 ... 95352.jpg/

che appare vuoto.

Per l'hd scsi di boot
dal settore 71810550 appare tutto vuoto (almeno sembra sono tantissimi settori)
Per primi 62 settori sono tutti occupati ed ho notato che il settore 63 e' uguale al settore 69

Ora però anche considerando che sia un falso positivo, invece di azzerare le zone esterne al filesystem volendo reinstallare lo stesso winxp (anche per togliere win98 partizionare in modo diverso,e per togliere i problemi che ho con trueimage data anche la dimensione del hd scsi soli 34 GB potrei lo stesso effettuare uno zero filling di solo questo lasciando gli altri 3 hd così come sono.
Ma mi chiedo in questo caso dato che i settori degli hd sembrano puliti non dovrei avere problemi in seguito giusto?
A parte naturalmente la perdita di tempo per lo zerofilling (penso 2 massimo 3 ore) e relativa reinstallazione del S.O. e dei programmi, con lo zero filling si corrono rischi di danneggiare l'hd (tipo ad es. marcare settori buoni come difettosi)?
Scusa se ti chiedo un ulteriore conferma dato che mi hai già scritto che se volessi procedere così sarebbe una buona scelta in caso di reinstallazione ecc ecc, ma vorrei essere sicuro anche della situazione degli altri hd tutto qui.

Volendo eseguire lo zero filling sul hd scsi quindi mi pare di aver capito che scollegando gli altri hd dovrei eseguire questo:

sudo dd if=/dev/zero of=/dev/sba bs=512

penso dovrebbe andare bene anche con xubuntu, giusto?
Ed avrò anche attivo il verbose/percentuale completamento a schermo giusto?

P.S.
Invece per un eventuale zero filling degli hd da 1 TB sono contento che se anche ci fosse stato bisogno almeno i tempi non sarebbero stati dell'ordine di 2 o 3 giorni In pratica io mi ero basato su un tuo post dove dicevi che avevi visto che la velocità media dello zero filling era di circa 1 GB oggi 5 minuti per cui ho pensato 1000 GB circa 5000 minuti quindi più di 83 ore

[grazie] ancora [ciao]
Avatar utente
Neo123
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: lun nov 09, 2009 12:52 am


Re: Rootkit problemi e dubbi

Messaggioda Uomo_Senza_Sonno » mar giu 14, 2011 10:37 am

Neo123 ha scritto:non so se anche le sdcard sono soggette a virus rootkit ma penso di si dato il file system

Le SD o le memorie flash in genere non sono soggette ad infezioni, è più probabile che si infettino le pendrive.

Neo123 ha scritto:Per primi 62 settori sono tutti occupati ed ho notato che il settore 63 e' uguale al settore 69

Forse è questa la causa di tutto, anche i tools a volte vanno in errore ma con un editor esadecimale si può effettivamente risalire alla radice del problema [std]

Neo123 ha scritto:Ma mi chiedo in questo caso dato che i settori degli hd sembrano puliti non dovrei avere problemi in seguito giusto?

Assolutamente no [^]

Neo123 ha scritto:A parte naturalmente la perdita di tempo per lo zerofilling (penso 2 massimo 3 ore) e relativa reinstallazione del S.O. e dei programmi, con lo zero filling si corrono rischi di danneggiare l'hd (tipo ad es. marcare settori buoni come difettosi)?

Non si corrono rischi in questo senso ma durante uno zerofilling il disco viene sottoposto alla scrittura totale di ogni settore, e non è uno stress irrilevante.

Neo123 ha scritto:Volendo eseguire lo zero filling sul hd scsi quindi mi pare di aver capito che scollegando gli altri hd dovrei eseguire questo:

sudo dd if=/dev/zero of=/dev/sba bs=512

penso dovrebbe andare bene anche con xubuntu, giusto?
Ed avrò anche attivo il verbose/percentuale completamento a schermo giusto?

No, non è sba, ma sda; ma con un

Codice: Seleziona tutto
sudo sfdisk -l

trovi tutti i device interessati, e con un solo disco collegato non ci saranno problemi quando andrai a dare

Codice: Seleziona tutto
sudo dd if=/dev/zero of=/dev/sda bs=512

da qualsiasi terminale. L'unica pecca è che non ti mostrerà una barra di completamento ma solo alla fine del processo ti dirà quanto tempo ci ha messo e la velocità di scrittura.

Neo123 ha scritto:Invece per un eventuale zero filling degli hd da 1 TB sono contento che se anche ci fosse stato bisogno almeno i tempi non sarebbero stati dell'ordine di 2 o 3 giorni In pratica io mi ero basato su un tuo post dove dicevi che avevi visto che la velocità media dello zero filling era di circa 1 GB oggi 5 minuti per cui ho pensato 1000 GB circa 5000 minuti quindi più di 83 ore

Beh, la media, almeno per i miei dischi, è di 5minuti/GB, ma tutto dipende dalle specifiche tecniche dell'hard disk
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Rootkit problemi e dubbi

Messaggioda Neo123 » mar giu 14, 2011 3:03 pm

Strano che le SD o le memorie flash come dici non sono soggette ad infezioni anche io avevo pensato la stessa cosa però essendo partizionate come un comune pendrive cosa cambia boh?
A questo punto penso che se come dici non sono soggette ad infezioni allora sarebbe utilissimo usare queste per scambiarsi dati (anche se a quanto ne so non si possono usare per il boot) in modo veloce invece dei comuni pendrive oltre naturalmente ad i cd o dvd anche rw che penso sono altrettanto immuni.

Grazie per la precisazione riguardo alla periferica da cancellare [:)] , peccato invece per il fatto che non si può vedere una barra di completamento del processo di cancellazione ma vabbe basta aspettare la fine del processo.
Leggendo le tue risposte mi sto togliendo tantissimi dubbi e sto imparando tante cose nuove, penso che sia importante perché in informatica non si finisce mai di imparare e di aggiornarsi [:)]
Ora devo diciamo solo decidere se davvero voglio cancellare hd scsi di boot e reinstallare il tutto in modo pulito o lasciare tutto così, malgrado i problemi che ho con il ripristino dell'immagine della partizione di win98.

Per caso ti servono anche le immagini dei settori dal 1 al 63? Lo so sono tanti ma se vuoi posso mettere i vari links.

Quello che non ho ancora compreso bene e' come distinguere in generale dal contenuto dei settori se c'e' l'infezione o no.
Lo so nei settori vi e' descritta praticamente la struttura delle partizioni, ma in particolare come faccio a sapere dove inizia la zone fuori dal filesystem per controllare i relativi settori, e invece nei primi settori quelli dallo 0 al 63 come si nota un infezione?
Lo so dovrò sicuramente leggere meglio le guide relative sul sito, ma tu in generale come fai, dato che purtroppo come abbiamo visto ad es. nel mio caso anche i vari tools danno falsi positivi?.
Il problema che mi pongo e che ad es. usando queste utility su un pc di un cliente o un amico penso magari che sia infetto (con conseguente perdita di tempo tra backup, cancellazione e ripristino) e invece magari non e' affatto così.

[:)] [ciao]
Avatar utente
Neo123
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: lun nov 09, 2009 12:52 am

Re: Rootkit problemi e dubbi

Messaggioda Uomo_Senza_Sonno » mar giu 14, 2011 5:37 pm

Neo123 ha scritto:Strano che le SD o le memorie flash come dici non sono soggette ad infezioni anche io avevo pensato la stessa cosa però essendo partizionate come un comune pendrive cosa cambia boh?

Facciamola più semplice: un disco viene partizionato ed alcuni settori vengono lasciati vuoti dal sistema operativo, mentre nei dispositivi flash come le SD non è presente nè mbr nè tabella di partizionamento, non ci sono settori lasciati vuoti dal sistema. Nellle pendrive è presente un mbr ed è più probabile che in caso di infezione da rootkit ci sia una veicolazione del malware ad altre macchine. Cd o DVD sono immuni, il filesystem è completamente differente ed ostile, esattamente come lo è kernel e filesystem GNU/linux [^]

Neo123 ha scritto:Per caso ti servono anche le immagini dei settori dal 1 al 63? Lo so sono tanti ma se vuoi posso mettere i vari links.

Tutti non sono necessari, al massimo posta i settori 1, 2, 32, 33, 62, 63 e 69 [std]

Neo123 ha scritto:Quello che non ho ancora compreso bene e' come distinguere in generale dal contenuto dei settori se c'e' l'infezione o no.

In alcuni dischi vengono scritti i settori esterni alla partizione per evitare la sovrascrittura degli stessi da parte di questo tipo di infezione, perché i rootkit per insediarsi devono trovare dello spazio libero; se noti bene, nel primo settore il codice si ripete, mentre in caso di infezione avresti avuto un codice più articolato.
In caso di infezione, ancora prima di andare a vedere nello specifico il codice presente nei settori di un disco, si manifestano alcuni malfunzionamenti come crash di sistema, rallentamenti, blocchi e via dicendo.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Rootkit problemi e dubbi

Messaggioda Neo123 » mar giu 14, 2011 7:45 pm

Adesso ho capito [:)] quindi in realtà le memorie flash non sono di solito partizionate e quindi non possono avere problemi di rootkit, molto bene [:)] quindi sicuramente in futuro le preferirò ad un comune pendrive, tanto la velocità di trasferimento può comunque essere alta ed il costo e' simile a quello di un pendrive certo serve l'adattatore ma almeno si e' più sicuri.

Ecco i settori che mi hai indicato:

Settore 1
Settore 2
Settore 32
Settore 33
Settore 62
Settore 63
Settore 69

Adesso mi e' tutto più chiaro grazie [:)] [ciao]
Avatar utente
Neo123
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: lun nov 09, 2009 12:52 am

Re: Rootkit problemi e dubbi

Messaggioda Uomo_Senza_Sonno » mar giu 14, 2011 8:31 pm

I valori presenti nei settori esterni al filesystem (6C) sono legittimi, probabilmente il disco è stato scritto in questo modo prima di essere messo sul mercato come sorta di protezione. Poi la precedente installazione di windows 98 e la successiva di XP hanno fatto si che si scrivessero i settori necessari ai due sistemi operativi.
Se vuoi eseguire uno zerofillng per ripartire da zero puoi farlo (ti ricordo che questo processo cancella definitivamente tutti i dati e non c'è possibilità di tornare indietro), ma se tutto va bene e vuoi tenere i due sistemi non è proprio necessario, come non è necessario azzerare determinati settori poichè non c'è presenza alcuna di rootkit.

Caro Neo, come ben sai, il problema è la scelta [std]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Rootkit problemi e dubbi

Messaggioda Neo123 » mar giu 14, 2011 10:03 pm

Bene sono contento di leggere che l'hd non ha problemi [:)]
A dire la verità tempo fa (precisamente quando mi sono accorto del problema che dava anche con acronis trueimage) ho formattato a basso livello (lo so e’ un operazione che non andrebbe fatta a cuor leggero) l'hd dal bios del controller scsi adaptec 19160 e poi ho ripristinato prima l'immagine del vecchio disco scsi (dato che in questo modo non dava problemi con la partizione di win 98) e dopo ho ripristinato la partizione di winxp con l’immagine aggiornata.
Alla fine ho ridimensionato anche la partizione di winxp da xbuntu con gpart.
Hai perfettamente ragione il problema e' la scelta [:)]
Attualmente il sistema non da problemi solo non mi piace il fatto che il ripristino (con trueimage) dell’immagine della partizione di win98 dia problemi.
C'e' da dire anche che Win 98 da molto tempo oltre a non usarlo più se cerco di farlo partire all'avvio praticamente mi fa vedere una schermata in cui mi dice di spegnere il pc e premendo un tasto si spegne.
Stranamente in passato ho provato ad installare di nuovo win 98 in modo pulito ma ottenendo sempre questo problema (forse dipende dal quantitativo di ram installata sul sistema anche se avevo impostato sul file system.ini un parametro per limitarne l’uso) a cui però non ho dato molto peso perché non usavo già win 98 da un po’ di tempo.
Inoltre i due sistemi operativi sono collegati fra loro per il modo in cui ho installato il tutto (prima win 98 poi win xp che ha copiato i files di boot nella partizione di win 98.
Comunque grazie a te ora però finalmente mi sono tolto il dubbio riguardo il rootkit/bootkit
Quando ho postato ieri mattina sinceramente speravo in una tua risposta, perché leggendo ho visto che ci sei passato anche tu e che in seguito hai aiutato (tu come tanti altri), molte persone a risolvere o capire la situazione.
Grazie ancora per il supporto e la disponibilità [:)] e scusa per i post simil romanzo hehe con qualche punta di offtopic

[ciao]
Avatar utente
Neo123
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: lun nov 09, 2009 12:52 am

Re: Rootkit problemi e dubbi

Messaggioda Neo123 » mar giu 14, 2011 10:27 pm

P.S.
Lo so che penso non serve più ma riguardo il log di Bootkit Remover vuoi che lo metto per intero? perché nel primo post non ci entrava
Scusate il doppio post ma e' passato un po' di tempo e non sono riuscito più ad editare quello precedente.
Avatar utente
Neo123
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: lun nov 09, 2009 12:52 am

Re: Rootkit problemi e dubbi

Messaggioda Uomo_Senza_Sonno » mer giu 15, 2011 1:08 am

Neo123 ha scritto:Attualmente il sistema non da problemi solo non mi piace il fatto che il ripristino (con trueimage) dell’immagine della partizione di win98 dia problemi.

Beh, per questo dovresti aprire un thread nella sezione apposita, sembra più un problema del software [;)]

Neo123 ha scritto:C'e' da dire anche che Win 98 da molto tempo oltre a non usarlo più se cerco di farlo partire all'avvio praticamente mi fa vedere una schermata in cui mi dice di spegnere il pc e premendo un tasto si spegne.
Stranamente in passato ho provato ad installare di nuovo win 98 in modo pulito ma ottenendo sempre questo problema (forse dipende dal quantitativo di ram installata sul sistema anche se avevo impostato sul file system.ini un parametro per limitarne l’uso) a cui però non ho dato molto peso perché non usavo già win 98 da un po’ di tempo.

Se non lo utilizzi da tempo, non ne vedo l'utilità di conservarlo attivo.. un bel colpo di spugna e via con una nuova installazione di XP o 7 se il pc ha i requisiti minimi [^]
Per il resto, non serve tutto il log di bootkit remover, quanto hai postato era quanto di più necessario. E dal momento che è appurato che non sono presenti infezioni, direi che il resto è storia [std] e che se serve, siamo qui. Inoltre, per capire a fondo come muoversi in questi casi, leggi con calma le guide sull'argomento pubblicate.

Buona serata, e a presto (non per altre richieste di aiuto, ma per parlare di altre argomentazioni)!
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Rootkit problemi e dubbi

Messaggioda Neo123 » mer giu 15, 2011 8:32 am

Ciao e grazie ancora, pensa che io mi occupo si assistenza tecnica informatica, lo so magari può sembrare un po’ 'strano data la richiesta d'aiuto(magari dirai poveri clienti [:D], spero di no ), ma specie in questo campo penso sia normale alcune volte avere dubbi ed aggiornarsi anche nelle piccole cose non fa mai male.
Come dicevo nei post precedenti, mi ha fatto piacere imparare cose nuove e togliermi alcuni dubbi che avevo.

Ciao buona giornata [:)]
Avatar utente
Neo123
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: lun nov 09, 2009 12:52 am

Re: Rootkit problemi e dubbi

Messaggioda Uomo_Senza_Sonno » gio giu 16, 2011 8:48 am

Neo123 ha scritto:magari dirai poveri clienti [:D]

No, assolutamente. Purtroppo questa tipologia di infezione è difficile da rimuovere, e non sono in tanti a sapere come muoversi in questo caso. Ma come hai sottolineato, è meglio aggiornarsi ed imparare nuove cose.

A presto [ciao]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising